屬性型存取控制 attribute-based-access

在此頁面上:​使用Adobe Journey Optimizer中的屬性式存取控制,將敏感結構描述欄位、設定檔屬性和對象限製為授權角色,以便您可以保護個人資料並防止未經授權的使用者對其採取行動。

以屬性為基礎的存取控制功能可讓您定義授權,以管理特定團隊或使用者群組的資料存取。 其目的在於保護敏感數位資產免受未經授權使用者的攻擊,進一步保護個人資料。

在Adobe Journey Optimizer中使用以屬性為基礎的存取控制,以保護資料並授與特定欄位元素的特定存取權,包括體驗資料模型(XDM)結構描述、設定檔屬性和對象。

如需屬性式存取控制中所使用術語的詳細清單,請參閱Adobe Experience Platform檔案

在此範例中,標籤已新增至​ 國籍 ​結構描述欄位,以限制未經授權的使用者使用它。 若要讓此功能發揮作用,請執行以下步驟:

  1. 建立新的​角色,並將它指派給對應的​標籤,讓使用者能夠存取和使用結構描述欄位。

  2. 將​ 標籤 ​指派給Adobe Experience Platform中的​ 國籍 ​結構描述欄位。

  3. 使用Adobe Journey Optimizer中的​結構描述欄位

請注意,也可以使用屬性式存取控制API來存取​角色原則​和​產品。 如需詳細資訊,請參閱此檔案

建立角色並指派標籤 assign-role

IMPORTANT
​>在管理角色的許可權之前,請先建立原則。 如需詳細資訊,請參閱 Adobe Experience Platform 文件

角色​是一組使用者,在您的組織內共用相同的許可權、標籤和沙箱。 屬於​ 角色 ​的每個使用者都有權使用產品中包含的Adobe應用程式和服務。 您也可以建立自己的​角色,以微調使用者對介面中特定功能或物件的存取權。

若要授與選取的使用者對標示為C2的​ 國籍 ​欄位的存取權,請建立具有特定使用者集的新​角色,並授與他們標籤C2,以允許他們在​ 歷程 ​中使用​ 國籍 ​詳細資料。

  1. 從Permissions產品中,從左窗格功能表選取​角色,然後按一下​建立角色。 請注意,您也可以將​ 標籤 ​新增至內建角色。

    在許可權產品中建立新角色

  2. 新增​ Name ​和​ Description ​到您新的​角色,此處:限制角色人口統計。

  3. 從下拉式清單中,選取您的​沙箱

  4. 從​ 資源 ​功能表,按一下​ Adobe Experience Platform ​以開啟其他功能。 在此,我們選取​歷程

  5. 從下拉式清單中,選取連結至所選功能的​許可權,例如​ 檢視歷程 ​或​發佈歷程

  6. 儲存您新建立的​ 角色 ​後,按一下​ 屬性 ​以進一步設定角色的存取權。

  7. 從​ 使用者 ​索引標籤,按一下​新增使用者

  8. 從​ 標籤 ​索引標籤中,選取​新增標籤

  9. 選取您要新增至角色的​標籤,然後按一下[儲存]。 在此範例中,授予標籤C2給使用者,以存取先前限制的結構描述欄位。

    儲存標籤組態

受限制角色人口統計​角色中的使用者現在可以存取C2標籤的物件。

將標籤指派給Adobe Experience Platform中的物件 assign-label

WARNING
不正確的標籤使用方式可能會中斷人員的存取權並觸發原則違規。

標籤​可用於使用屬性式存取控制來指派特定功能區域。 在此範例中,存取​ 國籍 ​欄位受到限制。 此欄位僅供擁有對應指派給其​ 角色 ​的​ 標籤 ​的使用者存取。

請注意,您也可以將​ 標籤 ​新增至​結構描述資料集​和​對象

  1. 建立您的​結構描述。 如需詳細資訊,請參閱此檔案

  2. 在新建立的​ 結構描述 ​中,我們先新增包含​ 國籍 ​欄位的​ 人口統計詳細資料 ​欄位群組。

  3. 從​ 標籤 ​索引標籤,在此處​ 國籍 ​檢查受限制的欄位名稱。 然後,從右窗格功能表中選取​編輯治理標籤

    編輯欄位的治理標籤

  4. 選取對應的​標籤,在此例中,C2 — 資料無法匯出至協力廠商。 如需可用標籤的詳細清單,請參閱此頁面

  5. 視需要進一步個人化您的結構描述,然後啟用它。 如需如何啟用結構描述的詳細步驟,請參閱此頁面

現在,您結構描述的欄位將僅對屬於以C2標籤設定的角色的使用者可見及使用。 藉由將​ 標籤 ​套用至您的​欄位名稱標籤​將自動套用至每個已建立結構描述中的​ 國籍 ​欄位。

存取Adobe Journey Optimizer中標籤的物件 attribute-access-ajo

在新結構描述和角色中標示​ 國籍 ​欄位名稱后,可在Adobe Journey Optimizer中觀察到此限制的影響。 在此範例中:

  • 使用者X可以存取標示為C2的物件,建立條件以受限制的​ 欄位名稱 ​為目標的歷程。
  • 使用者Y沒有存取標示為C2的物件的許可權,會嘗試發佈歷程。
  1. 從Adobe Journey Optimizer中,使用新結構描述設定​資料來源

    設定資料來源

  2. 將您新建立的​ 結構描述 ​的新​ 欄位群組 ​新增至內建​資料來源。 您也可以建立新的外部​ 資料來源 ​和相關聯的​欄位群組

    新增欄位群組至資料來源

  3. 選取您先前建立的​ 結構描述 ​後,從​ 欄位 ​類別中按一下​編輯

  4. 選取您要鎖定的​欄位名稱。 我們在這裡選取限制的​ 國籍 ​欄位。

  5. 建立歷程,以傳送電子郵件給具有特定國籍的使用者。 新增​ 事件 ​和​條件

  6. 選取受限制的​ 國籍 ​欄位,以開始建立您的運算式。

  7. 編輯您的​條件,以使用受限制的​ 國籍 ​欄位鎖定特定母體。

  8. 視需要個人化您的歷程,我們在這裡新增​ 電子郵件 ​動作。

    新增電子郵件動作至歷程

如果使用者Y (沒有標籤C2物件的存取權)需要使用受限制的欄位存取此歷程:

  • 使用者Y將無法使用受限制的欄位名稱,因為它將不可見。
  • 使用者Y將無法以進階模式編輯具有受限制欄位名稱的運算式。 將會出現下列錯誤: The expression is invalid. Field is no longer available or you do not have enough permission to see it
  • 使用者Y可以刪除運算式。
  • 使用者Y將無法測試歷程。
  • 使用者Y將無法發佈歷程。
AI知識參考

本節包含結構化知識,用於支援與本主題相關的解譯、擷取和問答。

如需完整瞭解,此資訊應結合本頁的檔案。 兩者皆非獨立來源;頁面說明功能,本節提供額外內容,以協助去除術語、意圖、適用性和限制條件的歧義。

  • TL;DR:​將治理標籤套用至結構描述欄位,並將符合的標籤指派至角色,讓未經授權的使用者無法檢視、編輯、測試或發佈使用這些受限制欄位的歷程,藉此保護Journey Optimizer中的敏感資料欄位。

意圖:

  • 建立角色並指派治理標籤,以限制對特定結構描述欄位的存取權
  • 將標籤套用至Adobe Experience Platform中的結構欄位以強制執行存取限制
  • 在Journey Optimizer歷程中使用標籤的結構描述欄位
  • 瞭解沒有必要標籤的使用者如何在歷程中體驗存取限制
  • 透過屬性式存取控制API管理角色、原則和產品

字彙表:

  • ABAC (以屬性為基礎的存取控制):根據標籤​ (產品特定) ​等屬性,定義管理特定團隊或使用者群組資料存取的授權的功能
  • 角色:一組使用者共用組織​ (產品特定) ​內相同的許可權、標籤和沙箱
  • 標籤:治理標籤(例如C2)已套用至結構描述欄位、資料集或對象,以控制哪些角色可以存取它們​(產品特定)
  • 原則:在管理角色的許可權之前必須先建立的設定 — ABAC (產品特定)​的先決條件
  • XDM結構描述:用來定義Adobe Experience Platform (產品特定)​中資料結構的體驗資料模型結構描述

護欄:

  • 在管理角色的許可權之前,必須先建立原則(先決條件,如頁面上的重要附註所述)
  • 不正確的標籤使用方式可能會中斷人員的存取權並觸發原則違規(如頁面上的「警告」中所述)
  • 沒有與受限欄位相符標籤的使用者無法:檢視受限欄位名稱、在進階模式下編輯參照它的運算式、測試歷程或發佈歷程

術語:

  • 正式名稱:屬性型存取控制 — 縮寫:ABAC — 變體:屬性型存取管理
  • 正式名稱:體驗資料模型 — 縮寫:XDM — 變體:XDM結構、XDM結構
  • 同義字: “Label” = “governance label” = “data governance label”
  • 請勿混淆:「角色」(具有共用許可權和標籤的使用者群組)≠「原則」(根據標籤規範資料存取強制的規則)
  • 請勿混淆: ABAC (透過平台層級的標籤原則控制對結構欄位、資料集和受眾的存取)≠OLAC (控制對特定Journey Optimizer物件(例如歷程和行銷活動)的存取

常見問題集:

  • 問:標籤可以新增至內建角色嗎? — 可以,標籤可新增至自訂與內建角色。
  • 問:缺少歷程中限制欄位標籤的使用者會發生什麼事? — 他們看不到該欄位;他們無法編輯引用該欄位的運算式、測試歷程或發佈歷程。
  • 問:標籤可以套用至結構描述欄位以外的物件嗎? — 是;標籤也可以套用至結構描述、資料集和對象。
  • 問:是否有使用ABAC管理角色、原則和產品的API? — 是;角色、原則和產品可透過屬性型存取控制API存取。
recommendation-more-help
journey-optimizer-help